CERT Polska ostrzega, że cyberprzestępcy po raz kolejny rozpoczęli szeroko zakrojone ataki na domowe routery wykorzystując zaawansowane metody ukrywania swojego działania. Celem ataków są dane pozwalające na dostęp do kont bankowych.
Metoda działania cyberprzestępców polega na przejęciu kontroli nad domowym routerem ofiary i zmianie ustawień serwerów DNS. Router przydzielający adresy w domowej sieci komputerom i urządzeniom przenośnym, podaje też ustawienia serwerów DNS, i w ten sposób użytkownicy lokalnej sieci zaczynają używać serwerów DNS kontrolowanych przez przestępców. Serwery te działają tak jak serwery legalne, z jednym wyjątkiem – kiedy użytkownik otwiera stronę banku, zamiast niej kierowany jest na serwer pośredniczący, udający stronę banku. Strona ta nie jest prawdziwą stroną banku i użytkownik loguje się do banku pozostając pod kontrolą przestępców, którzy wykorzystują jego dostęp do wyprowadzenia pieniędzy z konta.
Ten sposób działania cybrprzestepców znany jest już CERT od ponad roku. Nowością jest natomiast sposób łączenia się serwera pośredniczącego z bankiem. W poprzednio obserwowanych przypadkach, połączenie do banku było wykonywane bezpośrednio z przestępczego serwera. Teraz połączenie jest jeszcze przekierowywane przez któryś z przejętych routerów. W ten sposób przestępcy utrudniają wykrycie swojej działalności – połączenia z bankiem wykonywane są z adresów sieci domowych czy biurowych i nie budzą podejrzeń o manipulację. Routery przejmowane są poprzez złamanie hasła zabezpieczającego dostęp do panelu zarządzania.
CERT informuje, że aby zabezpieczyć się przed tym atakiem wystarczy zablokować możliwość zarządzania routerem spoza sieci lokalnej.
Domowe routery znów na celowniku cyberprzestępców
20 marca 2015, 21:22